Het politieke akkoord over de Digital Omnibus van 7 mei 2026 stelt de hoog-risico verplichtingen uit Bijlage III van de AI Act uit van 2 augustus 2026 naar 2 december 2027, maar transparantie, verboden praktijken en AI-geletterdheid blijven onverkort gelden en de huidige wet blijft juridisch leidend tot de wijzigingsverordening formeel is aangenomen.
Veel compliance-teams hebben hun planning de afgelopen twee jaar opgehangen aan één datum: 2 augustus 2026, het moment waarop de regels voor hoog-risico AI-systemen uit Bijlage III zouden ingaan. Met het politieke akkoord over de Digital Omnibus verschuift die datum met zestien maanden naar 2 december 2027. Dat klinkt als ademruimte, en dat is het deels ook. Maar het uitstel is selectief. Een aanzienlijk deel van de AI Act verandert niet, en sommige verplichtingen die organisaties soms over het hoofd zien, gaan juist gewoon door op de oorspronkelijke planning.
Stand van zaken op 13 juni 2026: Op 7 mei 2026 bereikten de Raad en het Europees Parlement een voorlopig politiek akkoord over de Digital Omnibus. Dit is nog geen geldend recht. De wijzigingsverordening moet nog formeel worden vastgesteld door beide medewetgevers en gepubliceerd in het Publicatieblad voordat de nieuwe data juridisch bindend zijn. De huidige AI Act blijft tot dat moment onverkort van kracht.
Wat de Digital Omnibus precies verschuift
De kern van het akkoord is een uitstel van de hoog-risico verplichtingen, maar dat uitstel is opgesplitst langs de twee routes waarlangs een systeem hoog-risico kan zijn.
De eerste route loopt via Artikel 6(2) in combinatie met Bijlage III: zelfstandige AI-systemen die worden ingezet in gevoelige domeinen zoals werving en selectie, kredietbeoordeling, onderwijs, rechtshandhaving en grenscontrole. Voor deze categorie verschuift de toepassingsdatum van 2 augustus 2026 naar 2 december 2027, een uitstel van zestien maanden.
De tweede route loopt via Artikel 6(1) in combinatie met Bijlage I: AI die als veiligheidscomponent in gereguleerde producten zit, denk aan medische hulpmiddelen, liften of radioapparatuur. Voor deze systemen verschuift de datum van 2 augustus 2027 naar 2 augustus 2028, een uitstel van een jaar.
Belangrijk detail dat in de discussie vaak verloren gaat: de Commissie had aanvankelijk een conditioneel mechanisme voorgesteld, een "stop the clock" die pas zou ingaan zodra de geharmoniseerde normen en ondersteunende instrumenten klaar waren. Dat conditionele mechanisme heeft het niet gehaald. Het akkoord werkt met vaste data. Dat geeft meer voorspelbaarheid, maar betekent ook dat de nieuwe deadlines niet verder opschuiven als normen vertraging oplopen.
Wat onverkort blijft gelden
Hier zit de kern van het misverstand. Uitstel van de hoog-risico verplichtingen betekent niet dat de AI Act op pauze staat. Drie blokken blijven gewoon gelden.
AI-geletterdheid (Artikel 4) geldt al sinds 2 februari 2025. Organisaties die AI-systemen ontwikkelen of gebruiken moeten zorgen voor voldoende AI-kennis bij hun personeel en andere betrokkenen. De Digital Omnibus verzacht de formulering van deze plicht enigszins, van het "waarborgen" van geletterdheid naar het "nemen van maatregelen ter ondersteuning" ervan, maar de verplichting zelf verdwijnt niet. Wie hier nog niets aan heeft gedaan, is al ruim een jaar te laat. Lees meer in onze uitleg over AI-geletterdheid onder Artikel 4.
Verboden praktijken (Artikel 5) gelden sinds 2 februari 2025. De acht categorieën verboden AI uit Artikel 5, waaronder social scoring, manipulatieve systemen en bepaalde vormen van biometrische categorisering, staan volledig los van de hoog-risico tijdlijn. De Digital Omnibus voegt hier juist een nieuw verbod aan toe op het genereren van niet-consensuele intieme beelden en materiaal van seksueel misbruik van kinderen, met een overgangsperiode tot 2 december 2026.
Transparantieverplichtingen (Artikel 50) gelden vanaf 2 augustus 2026 en worden niet uitgesteld. Dit is het blok dat het vaakst wordt onderschat. Organisaties die chatbots inzetten, deepfakes of synthetische content produceren, of emotieherkenning gebruiken, moeten gebruikers vanaf die datum informeren. Voor de machineleesbare markering van door AI gegenereerde content onder Artikel 50(2) geldt één nuance: generatieve AI-systemen die al voor 2 augustus 2026 op de markt waren, krijgen tot 2 december 2026 om aan de markeringsverplichting te voldoen.
De tijdlijn in één overzicht
De onderstaande tabel zet de oorspronkelijke en de nieuwe data naast elkaar, met de juridische status erbij.
| Verplichting | Huidige AI Act | Na Digital Omnibus | Status |
|---|---|---|---|
| AI-geletterdheid (Art. 4) | 2 februari 2025 | 2 februari 2025 (verzachte formulering) | Geldt al |
| Verboden praktijken (Art. 5) | 2 februari 2025 | 2 februari 2025 + nieuw verbod | Geldt al |
| GPAI-modelverplichtingen | 2 augustus 2025 | 2 augustus 2025 | Geldt al |
| Transparantie (Art. 50) | 2 augustus 2026 | 2 augustus 2026 | Niet uitgesteld |
| Art. 50(2) markering bestaande generatieve AI | 2 augustus 2026 | 2 december 2026 | Beperkt uitstel |
| Hoog-risico Bijlage III (Art. 6(2)) | 2 augustus 2026 | 2 december 2027 | Uitgesteld |
| Hoog-risico Bijlage I (Art. 6(1)) | 2 augustus 2027 | 2 augustus 2028 | Uitgesteld |
Hoe de classificatie verandert: de concept-richtsnoeren
Parallel aan het uitstel publiceerde de Commissie op 19 mei 2026 concept-richtsnoeren over de classificatie van hoog-risico systemen. De consultatie hierover sluit op 23 juni 2026. Deze richtsnoeren zijn relevant omdat ze bepalen óf een systeem überhaupt onder de uitgestelde regels valt.
De richtsnoeren bevestigen de twee routes naar hoog-risico (product en veiligheidscomponent via Bijlage I, gevoelige domeinen via Bijlage III) en geven nadere invulling aan de uitzonderingen van Artikel 6(3). Drie punten zijn voor de praktijk het belangrijkst.
Ten eerste worden de uitzonderingen van Artikel 6(3) smal uitgelegd. Een systeem dat in een Bijlage III-domein valt is niet automatisch vrijgesteld omdat het "maar" een ondersteunende of voorbereidende taak uitvoert. De drempel om aan hoog-risico te ontsnappen ligt hoog.
Ten tweede sluit profilering de uitzondering uit. Zodra een systeem profilering toepast in de zin van Artikel 4(4) AVG, kan het geen beroep doen op de Artikel 6(3)-uitzonderingen. Voor HR-, recruitment- en kredietsystemen die kandidaten of klanten profileren betekent dit dat de uitzonderingsroute praktisch dicht zit.
Ten derde tellen onderling verbonden systemen als één systeem voor de classificatie. Organisaties kunnen een hoog-risico functie dus niet wegdefiniëren door deze op te knippen in losse modules. De functionele samenhang is leidend, niet de technische opdeling.
Wat dit betekent voor uw planning
De verleiding is groot om het uitstel te lezen als toestemming om de hoog-risico voorbereiding stil te leggen. Dat is een planningsfout om drie redenen.
Het akkoord is nog niet formeel. Tot publicatie in het Publicatieblad blijft 2 augustus 2026 juridisch de geldende datum voor Bijlage III. Een organisatie die nu volledig vertrouwt op december 2027 neemt het risico dat het akkoord vertraagt of in de eindfase wijzigt.
De parallelle verplichtingen lopen door. Transparantie onder Artikel 50 komt in augustus 2026, AI-geletterdheid en verboden praktijken gelden al. Wie deze blokken negeert omdat "de AI Act is uitgesteld", handelt feitelijk in strijd met geldend recht.
Het voorbereidende werk is hetzelfde, ongeacht de datum. Een AI-register, een risicoclassificatie per systeem, vendor assurance en menselijke toezichtmaatregelen heb je in december 2027 net zo hard nodig als in augustus 2026. Het uitstel verandert de hoeveelheid werk niet, alleen de hoeveelheid tijd. De decision tree helpt bij een eerste classificatie van uw systemen.
De verstandige lijn is dus dubbel: stuur op de huidige wet en op de blokken die niet zijn uitgesteld, en bouw uw roadmap zo dat u soepel kunt meebewegen zodra de wijzigingsverordening formeel is. Het uitstel is een implementatievenster, geen pauzeknop.